Este artículo aborda cómo crear una regla de lista de permitidos para permitir que el tráfico con una firma IPS específica omita el motor de inspección IPS.
El motor del Sistema de Prevención de Intrusiones (IPS) de Cato inspecciona el tráfico WAN e Internet para detectar una variedad de ataques de red y utiliza diferentes técnicas de prevención para proteger la red. Algunas de las protecciones IPS se basan en firmas de tráfico que definen el tipo de posible ataque de red. Cada vez que un patrón de tráfico coincide con una firma IPS, el motor IPS aplica la acción de política IPS al tráfico (bloquear, monitorizar o permitir).
Para la acción de bloqueo IPS, puede utilizar reglas de lista de permitidos IPS para configurar el motor IPS para ignorar el tráfico coincidente. Por ejemplo, puede crear una regla de lista de permitidos IPS directamente desde un evento de bloqueo IPS en la pantalla de eventos.
Nota
Nota: Para las cuentas con configuraciones de lista de permitidos IPS que fueron previamente configuradas por Support, estas configuraciones se migran a la base de reglas de lista de permitidos IPS.
Puede crear reglas para listar el tráfico permitido para el motor IPS según un alcance específico del tráfico de red. El tráfico desde la fuente (Desde) y hasta el destino (Hasta) solo se lista como permitido según uno de estos tipos de tráfico de red:
-
WAN - Tráfico WAN entre sitios y hosts a través de la Nube Cato
-
Entrante - Tráfico desde Internet a la red interna del cliente
-
Saliente - Tráfico desde la red interna del cliente a Internet
-
Cualquiera - Cualquier tráfico de red
La siguiente tabla explica los elementos que puede usar para definir la configuración de una regla de lista de permitidos IPS:
|
Elemento |
Descripción |
|---|---|
|
Nombre |
Nombre para la regla de lista de permitidos IPS. |
|
Alcance |
Alcance de protección para el tráfico al que se aplica la lista de permitidos IPS. No puede editar el alcance de una regla. |
|
Fuente |
Fuente del tráfico para esta regla. |
|
Destino |
Destino del tráfico para esta regla. |
|
Protocolo/Puerto |
Solo se aplica al tráfico que coincide con el protocolo y los puertos especificados. Puede definir un solo puerto o rango de puertos para cada regla. Utilice reglas separadas para definir múltiples puertos, por ejemplo, una regla para el puerto TCP 80 y una segunda regla para el puerto TCP 200. |
|
ID de firma |
La firma IPS que está en la lista de permitidos y cualquier tráfico que con esta firma que coincida con esta regla es permitido por el motor IPS. Puede ingresar cualquiera para configurar el motor IPS para permitir todo el tráfico que coincida con esta regla. |
|
Seguimiento |
Cuando la regla coincide, se genera un evento o se envía una alerta de notificación por correo electrónico a la lista especificada. |
|
|
Opciones para habilitar, deshabilitar o eliminar |
La siguiente tabla muestra las entidades que puede configurar para los campos fuente y destino en las reglas de lista de permitidos para cada alcance de protección de IPS:
|
Alcance de la regla |
Entidades disponibles para la fuente |
Entidades disponibles para el destino |
|---|---|---|
|
Entrante |
País Rango de IPs ASN remoto Subred Cualquiera |
Subred flotante Grupo Host Subred de interfaz IP Interfaz de red Sitio Grupo del sistema Usuario Grupo de usuarios Usuario SDP Cualquiera |
|
WAN |
Subred flotante Grupo Host Subred de interfaz IP Interfaz de red Sitio Grupo del sistema Usuario Grupo de usuarios Usuario SDP Cualquiera |
Subred flotante Grupo Host Subred de interfaz IP Interfaz de red Sitio Grupo del sistema Usuario Grupo de usuarios Usuario SDP Cualquiera |
|
Saliente |
Subred flotante Grupo Host Subred de interfaz IP Interfaz de red Sitio Grupo del sistema Usuario Grupo de usuarios Usuario SDP Cualquiera |
País Dominio FQDN Rango de IPs ASN remoto Cualquiera |
La base de reglas de lista de permitidos IPS contiene todas las reglas que permiten tráfico para el motor IPS. Todas las reglas de lista de permitidos IPS coincidentes se aplican al tráfico, este comportamiento es diferente de la base de reglas de firewall ordenada donde solo se aplica la primera regla coincidente. Esto significa que si una conexión coincide con múltiples reglas de lista de permitidos, cada regla coincidente genera un evento.
Por ejemplo, una conexión con una firma IPS bloqueada coincide con las reglas de lista de permitidos IPS 2 y 4. La conexión está en la lista de permitidos y permitida por el motor IPS. La conexión genera dos eventos separados, uno para la regla 2 y otro para la regla 4.
Puede utilizar el Descubrimiento de Eventos para identificar la firma IPS que está bloqueando el tráfico y luego crear una regla de lista de permitidos IPS a partir del evento de bloqueo. Puede hacer clic en el ID de firma en un evento para abrir una ventana que le permita configurar los ajustes para una nueva regla de lista de permitidos de IPS. La regla se agrega entonces a la base de reglas de lista de permitidos de IPS en la política de IPS (Seguridad > IPS).
Para crear una regla de lista de permitidos de IPS desde un evento:
-
Desde Inicio > Eventos, muestre el evento de IPS para el tráfico bloqueado. Este es un procedimiento de ejemplo para mostrar un evento de IPS:
-
Desde el menú desplegable Seleccionar predefinido, seleccione IPS.
-
Ubique el evento para el ID de firma de IPS.
-
Expanda el evento.
-
-
En ID de firma, haga clic en el enlace para la firma.
Se abre el panel Nueva Lista de Permitidos. Los ajustes para la regla se basan en los datos para el evento.
-
Revise los ajustes para la regla de lista de permitidos de IPS. El Alcance coincide con la dirección del tráfico para el evento y no puede cambiarlo.
-
En la sección Rastrear, puede elegir generar un Evento y Notificación por correo electrónico cuando esta firma sea permitida.
-
Haz clic en Guardar. La regla se agrega a la base de reglas de la lista de permitidos de IPS.
-
Para mostrar la base de reglas de lista de permitidos de IPS, desde el menú de navegación haga clic en Seguridad > IPS y seleccione la pestaña Lista de Permitidos.
Utilice la sección Lista de Permitidos de IPS en la pantalla de Política de IPS para crear, editar y eliminar manualmente las reglas de lista de permitidos de IPS.
La base de reglas de lista de permitidos de IPS está en la página de Política de IPS.
Para mostrar la base de reglas de lista de permitidos de IPS:
-
Desde el menú de navegación, haga clic en Seguridad > IPS.
-
Seleccione la pestaña Lista de Permitidos. Se muestra la base de reglas de lista de permitidos de IPS.
Puede agregar una nueva regla a la base de reglas de lista de permitidos de IPS y definir los ajustes para la regla. No puede editar el alcance de una regla.
El ID de Firma de IPS es una firma personalizada que Cato utiliza para el motor de IPS. Solo puede ver los IDs de Firma en eventos de IPS.
Permitido el tráfico de restricción geográfica de IPS
Si necesita crear reglas de lista de permitidos para la política de restricción geográfica de IPS, entonces necesita definir un Rango de IP en el campo Destino. Si la regla se define en base a un Dominio, el tráfico no omite el motor de inspección de IPS. Un método alternativo para aplicar restricciones geográficas basadas en dominios es con el Firewall de Internet. Para más información, consulte Internet y Políticas de Firewall WAN – Mejores Prácticas.
Para crear manualmente una regla de lista de permitidos de IPS:
-
Desde el menú de navegación, haga clic en Seguridad > IPS.
-
Haga clic en Nuevo. Se abre el panel Nueva Lista de Permitidos.
-
Ingrese el Nombre para la regla.
-
Seleccione el Alcance de la regla.
-
Define el ID de Firma para la regla, vea arriba Elementos en una regla de lista de permitidos de IPS.
Si establece ID de Firma a Cualquiera, entonces el motor de IPS permite todo el tráfico coincidente.
-
Haz clic en Aplicar. La regla de lista de permitidos de IPS se agrega a la base de reglas.
-
Haz clic en Guardar.
0 comentarios
Inicie sesión para dejar un comentario.